IKEv1 est une méthode standard qui permet d'établir des communications sécurisées authentifiées.
Paramètres de la phase 1
La phase 1 configure une authentification mutuelle des entités homologues, négocie des paramètres cryptographiques et crée des clés de sessions. Les paramètres de la phase 1 utilisés par NSX Edge sont les suivants :
- Mode principal.
- Triple DES, AES-128, AES-256 [Configurable]. AES-GCM n'est pas pris en charge dans la Phase 1, donc AES-128 est utilisé en interne.
- SHA1, SHA_256.
- Groupe MODP 2, 5, 14, 15 et 16.
- Clé secrète prépartagée et certificat [Configurable].
- Durée de validité de l'association de sécurité de 28 800 secondes (huit heures) sans renouvellement de clé lifebytes.
- Mode agressif d'ISAKMP désactivé
- VPN IPSec prend en charge uniquement le renouvellement de clé basé sur le temps. Vous devez désactiver le renouvellement de clé lifebytes.
- À partir de NSX 6.4.5, l'algorithme de chiffrement Triple DES est obsolète dans le service VPN IPSec.
Paramètres de la phase 2
La phase 2 d'IKE négocie un tunnel IPSec en créant des éléments de création de clé pour le tunnel IPSec à utiliser (soit en utilisant les clés de la phase 1 d'IKE, soit en effectuant un nouvel échange de clés). Les paramètres de la phase 2 d'IKE pris en charge par NSX Edge sont les suivants :
- Triple DES, AES-128, AES-256 et AES-GCM [Correspondance avec le paramètre de la phase 1].
- SHA1, SHA_256.
- Mode tunnel d'ESP.
- Groupe MODP 2, 5, 14, 15 et 16.
- Secret d'envoi parfait pour le renouvellement de clé.
- Durée de validité de l'association de sécurité de 3 600 secondes (une heure) sans renouvellement de clé lifebytes.
- Sélecteurs de tous les protocoles IP, tous les ports, entre les deux réseaux, utilisant les sous-réseaux IPv4
- VPN IPSec prend en charge uniquement le renouvellement de clé basé sur le temps. Vous devez désactiver le renouvellement de clé lifebytes.
- À partir de NSX 6.4.5, l'algorithme de chiffrement Triple DES est obsolète dans le service VPN IPSec.
Exemples de modes de transaction
NSX Edge prend en charge le mode principal pour la phase 1 et le mode rapide pour la phase 2.
NSX Edge propose une stratégie qui exige un certificat/une clé prépartagée, 3DES/AES128/AES256/AES-GCM, SHA1/SHA256 et un groupe DH 2/5/14/15/16. L'homologue doit accepter cette stratégie. Sinon, la phase de négociation échoue.
Phase 1 : Transactions en mode principal
Cet exemple illustre un échange de négociation en phase 1 exécuté depuis NSX Edge vers un périphérique Cisco.
Les transactions suivantes ont lieu dans l'ordre entre le dispositif NSX Edge et un périphérique VPN Cisco en mode principal.
- NSX Edge vers Cisco
- Proposition : encrypt 3des-cbc, sha, psk, group5(group2)
- DPD activé
- Cisco vers NSX Edge
- Contient la proposition choisie par Cisco
- Si le périphérique Cisco n'accepte pas les paramètres envoyés par le dispositif NSX Edge à l'étape 1, il envoie le message avec l'indicateur NO_PROPOSAL_CHOSEN et termine la négociation.
- NSX Edge vers Cisco
- Clé DH et nonce
- Cisco vers NSX Edge
- Clé DH et nonce
- NSX Edge vers Cisco (chiffré)
- Incluez l'ID (PSK).
- Cisco vers NSX Edge (chiffré)
- Incluez l'ID (PSK).
- Si le périphérique Cisco estime que la PSK ne correspond pas, le périphérique Cisco envoie un message avec l'indicateur INVALID_ID_INFORMATION et la phase 1 échoue.
Phase 2 : Transactions en mode rapide
Les transactions suivantes ont lieu dans l'ordre entre le dispositif NSX Edge et un périphérique VPN Cisco en mode rapide.
- NSX Edge vers Cisco
NSX Edge propose la stratégie de phase 2 à l'entité homologue. Par exemple :
Aug 26 12:16:09 weiqing-desktop ipsec[5789]: "s1-c1" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK {using isakmp#1 msgid:d20849ac proposal=3DES(3)_192-SHA1(2)_160 pfsgroup=OAKLEY_GROUP_MODP1024}
- Cisco vers NSX Edge
Le périphérique Cisco renvoie NO_PROPOSAL_CHOSEN s'il ne trouve pas de stratégie correspondante à la proposition. Sinon, le périphérique Cisco envoie l'ensemble de paramètres choisis.
- NSX Edge vers Cisco
Pour faciliter le débogage, vous pouvez activer la journalisation IPSec sur NSX Edge et activer crypto debug dans Cisco (debug crypto isakmp <level>).